病毒簡介
【病毒名稱】Downloader
【病毒類型】綁架你的浏覽器
中毒特征
【中毒症狀】
當Downloader.Admincash運行時,它執行以下操作:
創建如下互斥實例,以确保同時隻有一個木馬運行:
BeavisMutex
ButtheadMutex
将自身拷貝為%System%soft.exe和%System%[随機生成文件名].exe
提示:%System%是系統目錄變量,默認情況下它是C:WindowsSystem(Windows 95/98/Me),C:WinntSystem32(Windows NT/2000),或C:WindowsSystem32(Windows XP).
創建如下注冊表項:
HKEY_CURRENT_USERSoftwareMicrosoftActive SetupInstalled Components
HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components
将下述鍵值:
"Web Service"="%System%[random file name].exe"
添加到如下注冊表項:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionrun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrun
添加注冊表鍵值
"run"="%System%soft.exe"
到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionWindows
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT
CurrentVersionWindows
添加注冊表鍵值:
"DisableSR"="0x00000001"
到:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT
CurrentVersionSystemRestore
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionSystemRestore
添加鍵值:
"EnableFirewall"="0x00000001"
到注冊表項:
HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft
WindowsFirewallDomainProfile
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft
WindowsFirewallDomainProfile
HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft
WindowsFirewallStandardProfile
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft
WindowsFirewallStandardProfile
以用于禁用Windows的WindowsFirewall。
添加鍵值:
"NoAutoUpdate"="0x00000001"
"AUOptions"="0x00000001"
到注冊表項:
HKEY_CURRENT_USERSoftwarePoliciesMicrosoft
WindowsWindowsUpdateAU
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft
WindowsWindowsUpdateAU
以禁用Windows的自動更新。
添加注冊表鍵值:
"FirewallDisableNotify"="0x00000001"
"UpdatesDisableNotify"="0x00000001"
"AntiVirusDisableNotify"="0x00000001"
到注冊表項:
HKEY_CURRENT_USERSOFTWAREMicrosoft
Security Center
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Security Center
将安全中心的三項設置均設為禁用
創建如下文件:
%Windir%explorer.new
%Windir%wininit.ini
提示:%Windir%表示Windows安裝目錄,默認情況下是C:Windows 或 C:Winnt.
感染%Windir%explorer.exe文件。
病毒解決辦法
操作步驟如下:
1.當打開網頁的時候symantec會彈出對話框,病毒名為"downloader"。
2.雙際病毒名,彈出對話框對話框内有病毒地址:C:Documents and SettingstimeLocal SettingsTemporary Internet FilesContent.IE5
3.進入該目錄,删除目錄中所有文件,如果這個電腦沒有中病毒,所有文件都可以删除掉,當中病毒後有幾個文件無法删除.無法删除的文件就是所要找的病毒。
4.下載此軟件名為"Unlocker.rar"
5.删除後打開網頁。該文件夾内會自動生成7-8個文件,再次删除所有文件.如果沒有提示不可删除文件提示窗口,這樣就成功一半了。
6.以上隻是第一步,第二步,使用360衛士等清理工具,進行注冊表的修複,因downloader病毒會自動修改注冊表内的信息.所以要進行修複。
7.再次打開網頁,進行重複刷新.沒有出現symantec窗口,證明徹底删除了病毒。